Loopback Processing: Benutzer- durch Computer-GPOs ersetzen

    Delegierung der GPO-AdministrationNormaler­weise erhält ein User seine Ein­stellungen von GPOs, die für seine OU wirksam sind (direkt oder durch Vererbung). Loopback Processing verändert die Anwen­dung von Gruppen­richt­linien, so dass die Ein­stellungen für Benutzer von GPOs kommen, die auf den AD-Container des Com­puters wirken. Dieses Feature ist vor allem nütz­lich, wenn man auf einem Terminal-Server eine andere Konfi­guration ver­wenden möchte als auf einem PC.

    Die Abarbeitung von GPOs durch die Client Side Extensions erfolgt normalerweise so, dass jene Einstellungen zuerst zum Zug kommen, die am weitesten vom User-Objekt entfernt mit einem Container verlinkt sind. Zum Schluss trifft es jene, die direkt mit der OU des Benutzers verknüpft sind. Dieses Verfahren stellt sicher, dass GPOs eine höhere Priorität erhalten, je näher sie in der AD-Struktur an den User angedockt sind.

    Priorität von GPOs

    Beispiel: Zwei GPOs konfigurieren die Einstellung Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Desktop => Desktop => Desktophintergrund. Eine davon ist mit der Domäne, die andere mit der OU Marketing verknüpft. Wenn der Benutzer Anton Huber Mitglied der OU Marketing ist, dann überschreibt das mit dieser OU verknüpfte GPO die Einstellungen, die auf Domain-Level gesetzt wurden. User Anton Huber erhält also das Hintergrundbild, das für alle Benutzer der OU Marketing vorgesehen ist und nicht jenes, das für die ganze Domäne gilt.

    Dieser relativ leicht nachvollziehbare Prozess verliert an Transparenz, wenn man die Abarbeitung von GPOs über WMI-Filter steuert, die Vererbung in bestimmten Teilbäumen deaktiviert oder die Anwendung von Einstellungen erzwingt.

    Loopback verändert die Anwendung von GPOs

    GPO Loopback ist ein weiterer Mechanismus, um die Ausführung von GPOs zu beeinflussen. Er dient dazu, dem Benutzer die Einstellungen von jenen GPOs zuzuteilen, die auf den Computer zutreffen.

    Angenommen User Anton Huber erhält einen Session Based Desktop, der von einem Terminal-Server aus der OU Terminalserver bereitgestellt wird. Verknüpft nun der Administrator ein GPO mit der OU Terminalserver, das in der Benutzerkonfiguration ebenfalls ein Hintergrundbild festlegt, dann sorgt GPO Loopback dafür, dass sich diese Einstellung gegenüber jener durchsetzt, die für die OU Marketing definiert wurde.

    Loopback wirkt sich auf alle GPOs aus

    Bei GPO Loopback handelt es sich um eine Einstellung für Computer, die selbst über ein GPO angewandt wird. Die Computer, für die Loopback konfiguriert wird, ändern die Logik der GPO-Ausführung für alle Benutzer und für alle Gruppenrichtlinienobjekte.

    GPO Loopback ist eine Einstellung für Computer, mit der die Ausführung von Gruppenrichtlinien verändert wird.

    Die Einstellung für GPO Loopback findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinie => Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien konfigurieren.

    Zwei Modi: Ersetzen versus Zusammenführen

    Bei der Aktvierung von GPO Loopback muss man sich für einen von zwei Modi entscheiden: Ersetzen oder Zusammenführen. Ersetzen bewirkt, dass Benutzereinstellungen nur von jenen GPOs übernommen werden, die mit dem Computer assoziiert sind. Die Benutzereinstellungen von GPOs, die mit der OU des Users verknüpft sind, werden in diesem Fall ignoriert.

    Bei Loopback Processing muss einer von zwei Modi ausgewählt werden.

    Der Modus Zusammenführen dagegen kombiniert erwartungsgemäß die Benutzereinstellungen von GPOs, die dem User oder dem Computer zugeordnet sind. Das Ergebnis besteht in der Summe aller Einstellungen, aber bei Konflikten setzen sich jene durch, die auf die OU des Computers wirken.

    Gefahr unerwünschter Nebeneffekte

    GPO Loopback wurde vor allem eingeführt, um die Benutzereinstellungen für bestimmte Umgebungen wie Kiosk-Systeme oder Terminal-Server getrennt konfigurieren zu können. Auch wenn es dafür seine Berechtigung hat, so birgt jeder weitere Eingriff in die GPO-Ausführung das Risiko unerwünschter Nebeneffekte.

    Dieses steigt etwa dann, wenn der Überblick über den Einsatz von GPO Loopback verloren geht. Eine Ursache dafür kann sein, dass es in einem GPO zusammen mit mehreren anderen Einstellungen konfiguriert wurde und aus dem Namen des Gruppenrichtlinienobjekts dieser Sachverhalt nicht ersichtlich ist. Daher ist es günstiger, wenn man ein eigenes GPO nur für die Aktivierung von Loopback anlegt.

    Sparsamer Gebrauch ratsam

    Als Folge mangelnder Transparenz oder falscher Bewertung kann Loopback Processing zu hoch in der AD-Hierarchie aktiviert werden, so dass es sich unter Umständen auf eine ganze Domäne auswirkt. Davon wären auch Domänen-Controller betroffen, für die der Einsatz von GPO Loopback zwar sinnvoll sein kann, die man aber nicht unabsichtlich diesem Mechanismus aussetzen möchte.

    Insgesamt macht GPO Loopback bei allem Nutzen, den es bei der Lösung bestimmter Probleme haben kann, den Einsatz von Gruppenrichtlinien komplizierter und fehleranfälliger. Wenn man nicht darauf verzichten will, sollte man es zumindest nicht zu großzügig einsetzen.

    2 Kommentare

    Bild von Ramon Zechel
    Ramon Zechel sagt:
    8. Juli 2013 - 16:15

    Gute Information und gute Seite, komme aber um Hilfe vom Spezialisten nicht herum. Werde aber sicher öfter vorbeischauen!

    Bild von Klaus
    Klaus sagt:
    19. März 2019 - 22:36

    Top Webseite!

    Lande immer bei Euch und es wird mir immer geholfen! Danke.